November 1 CVE Board Meeting Summary

[：常见漏洞和暴露<cve@mitre.org>]

CVE董事会会议2017年11月1日

出席董事会成员

威廉·考克斯（黑鸭）

肯特·兰德菲尔德（McAfee）

Andy Balinsky (Cisco)

Kurt Seifried（红色帽子/DWF）

Taki Uchiyama（jpcert）

Dave Waltermire（NIST）

肯·威廉姆斯（CA Technologies）

MITER CVE团队的成员出席

丹·阿迪诺夫（Dan Adinolfi）

乔治·蒂尔（George Theall）

克里斯·科芬

乔纳森·埃文斯（Jonathan Evans）

亚历克斯·特威德（Alex Tweed）

议程

2:00 – 2:05: Introductions, action items from the last meeting – Chris Coffin

2:05 - 2:25：工作组

战略规划 - 肯特·兰德菲尔德

问题

动作

董事会决定

自动化 - 乔治·蒂尔（George Theall）

问题

动作

董事会决定

2:25 – 2:50: CNA Update

DWF - Kurt Seifried

问题

动作

董事会决定

将军 - 丹·阿迪诺夫（Dan Adinolfi）

问题

动作

董事会决定

2：50 - 2：55：董事会会员 - 克里斯·科芬（Chris Coffin）

2：55 - 3：05：处理已解决的参考-George Theall和Chris Coffin

3：05 - 3：20：文档：CNA流程-Dan Adinolfi

3：20 - 3：45：讨论：通过CVE请求表格的Suppar报告的问题分配 - Chris Coffin和Jonathan Evans

电子邮件线程邮寄邮件列表10/23-10/26。

3:40 - 3:55：公开讨论

3：55 - 4：00：动作项目，总结 - 克里斯·科芬（Chris Coffin）

上次会议的行动项目的审查

• 以前的操作项目：为已解决的域问题启动线程
  • 地位：电子邮件已于10/31发送给董事会，并有一些回复。此项目也在今天的议程上
• 以前的操作项目：类别和标签讨论（Kurt）
  • 地位：已经启动了线程；Miter将提出一条前进的道路。
• 以前的操作项目：将电子邮件发送到Hackerone以衡量发行CVE ID的兴趣
  • 地位：尚未完成。Miter将继续作为下一个呼叫的操作项目。
• 以前的操作项目：为协作文件共享开发想法。
  • 地位：Miter将在下一届董事会会议（Joe Sain）举行简报。

议程项目

董事会工作组

Strategic Planning Working Group (Kent Landfield)

地位：肯特目前正在组装一份文档，该文件捕获有关策略，需要回答的问题以及进步的想法的最新对话。

自动化工作组（George Theall）

地位：在工作组中讨论了第3阶段的想法。这些讨论将继续，并将在第2阶段结束时介绍给董事会。工作组内的共识是新的GitHub站点运作良好。

行动：没有任何

CNA更新

DWF（Kurt Seifried）

地位：DWF请求的积压持续工作。DWF正在计划CVE GITHUB存储库的叉子，这将导致提交拉请求。当前的DWF存储库将被删除。

问题/讨论：There was a discussion regarding whether a child CNA could publish directly to MITRE rather than going through its parent CNA. Some members felt that if the child CNA is submitting good requests they should be able to talk directly to MITRE. This could be a way to reduce the amount of overhead in the process. Commits going to MITRE would be signed, and MITRE would pull this data in periodically as part of the Continuous Integration (CI) process.

人们担心这将如何扩展父级CNA。董事会表示，如果可以遵循层次结构并可以委派责任，则可以解决一些规模问题。

董事会还认为，MITER应该在CNA指南中更清楚地表明，有一套适用于所有人的规则，并且有些规则被表示为目标。必须明确说明强制性规则，并且必须与以目标表达的角色区分开来。

基于此讨论，董事会认为应该遵循层次结构，CVE出版物的细节应通过每个根CNA向上流动，而不是允许Sub-CNA直接发布到MITER。使用层次结构的主要原因是，随着程序的集中度降低，它允许更具灵活性。同样，根CNA始终处于最佳位置，以确定哪些内容是可以接受的。如果根CNA决定其下的子CNA不需要内容审查，因为它们具有很好的提交质量内​​容的记录，则根CNA可以选择在提交时自动将这些CVE细节推到链条上。

链接规则：https://github.com/cveproject/docs/tree/cna-documents/cna/cna%20rules/cna%20rules%20development

行动：返回并相应地对规则发表评论 - 请参阅哪些需要哪些以及灵活的规则。看看哪些是更多的准则。（戴夫）

MITER（Dan Adinolfi）

地位：Node.js已加入CNA。Facebook和Github也表示有兴趣成为CNA，Booz Allen Hamilton希望加入研究人员。董事会对研究人员的入门及其对CVE努力的相对价值而不是CNA表示担忧。

讨论：关于CVE覆盖其他领域的讨论以及同时了解这些新CNA如何适应更大的层次结构。董事会建议采用更衡量的方法来入职新CNA，以确保建立稳定的管理结构。CVE外展应针对扩大基础（即识别和提出根CNA），与当前的CNA合作以帮助定义其角色，并确保对他们的期望以及相关的工作量有足够的清晰度是。

行动：

1. MITRE will invite representatives from Github to a future Board discussion.
2. MITER将发起有关应有CVE覆盖的其他技术领域和领域的对话。
3. 讨论将继续建立基础。CVE团队将考虑从CNA入门转变为根CNA识别和开发的潜在转变。

木板成员hip Change

状态/问题：10月31日是响应持续董事会参与呼吁的截止日期。3名成员没有回应 - 迈克·普罗瑟（Symantec），汤姆·斯特拉辛纳（Tom Stracener）和伊丽莎白·斯科特（Elizabeth Scott）（微软）。

行动：他们将在一周内将其从董事会列表，公共网站和会议邀请中删除。

公开讨论

ISSUE:How should CVE handle references with invalid hyperlinks?

讨论/笔记：已经观察到，许多较旧的CVE包含包括不再有效的超链接的参考。保留参考文献很重要，因为它包含有价值的信息。董事会讨论了几种选择：

• 删除超链接，以不同的方式标记，也许具有对Web存档的引用。
• 将参考作为存档的历史记录，并将其标记为破碎。
• 不要删除参考，而要删除超链接。
• Ask the downstream users if they actually care if the URLs are broken.

行动：董事会在最近的一封电子邮件中提供了用于处理CVE网站断开参考的选项。要点是，我们不想完全删除参考，我们只想明确表明它已破裂。后来的董事会电子邮件讨论将开始讨论如何在CVE下载和JSON中标记这些参考。该团队还可以创建博客文章以获取下游用户的意见。

行动项目摘要

• Dave Waltermire自愿审查当前的CNA规则，以了解所需的项目和灵活的物品。
• Miter将安排董事会会议，其中包括Github的代表。
• Miter将开始讨论有关CVE覆​​盖范围的其他技术领域和领域。
• 关于建立基础的讨论（即识别和入职根CNA）将由战略计划WG讨论。
• The discussion on broken links and handling them with the CVE downloads and JSON will continue in a Board email thread.
• Dave Waltermire将制定有质量问题的CNA清单。

重大决定：

Sub-CNA不能将CVE详细信息直接提交或传达给主要CNA或维护者。他们必须根据根部定义的规则通过根CNA提交。有关更多详细信息，请参见上面的注释。

依恋：cve_board_meeting_summary_for_review_11012017.docx
描述：cve_board_meeting_summary_for_review_11012017.docx